IT-Projektstau durch Sicherheitsanforderungen: Viele Vorgaben, wenig Wirkung

Sicherheitsanforderungen aus Normen, Standards und Gesetzen wie ISO 27001, IT-Grundschutz, DORA oder NIS2 sollen Organisationen sicherer und widerstandsfähiger machen. In der Praxis beobachten wir jedoch regelmäßig etwas anderes: IT-Projekte geraten ins Stocken, Sicherheitsinitiativen verlieren an Momentum, und das Vertrauen zwischen Informationssicherheit und IT schwindet.

Informationssicherheitsbeauftragte (ISB) stellen zahlreiche Anforderungen – doch in der IT bleiben diese häufig liegen oder scheitern an der Umsetzung. Projekte verlaufen im Sande, Sicherheit wird zur reinen Dokumentation, nicht zur gelebten Praxis. Die Ursache: Die IT ist überfordert – durch die schiere Menge an Anforderungen.

Wenn Normen, Standards und Gesetze ohne klare Rollenverteilung, abgestimmte Priorisierung und tragfähige Prozesse eingeführt und umgesetzt werden, entsteht struktureller Projektstau – mit spürbaren Folgen für Geschäft, Sicherheit, Compliance und Zusammenarbeit.

In diesem Artikel erfahren Sie, warum IT-Projektstau so häufig entsteht, welche Muster wir aus Kundenprojekten kennen und wie Sie von regulatorischer Last zur handlungsfähigen Umsetzung gelangen.

In vielen Projekten zeigt sich ein wiederkehrendes Muster:

• ISBs erwarten, dass die IT mithilfe von Richtlinien und Frameworks eigenständig Sicherheitsmaßnahmen ableitet.
• Die IT erwartet, dass der ISB nicht nur Anforderungen formuliert, sondern auch bei der Umsetzung aktiv unterstützt.

Diese Erwartungslücke ist nicht nur ein Kommunikationsproblem, sondern Ausdruck eines ungeklärten Rollenverständnisses. Der ISB wird fälschlicherweise als operativer Umsetzer gesehen, obwohl seine eigentliche Aufgabe strategische Steuerung, Befähigung und Kontrolle ist.

Zudem bestehen Wissensdefizite auf beiden Seiten: Der IT fehlt es teilweise an Bewusstsein für die Relevanz und den Umfang von Sicherheitsanforderungen, während dem ISB häufig technisches Know-how im Bereich IT-Sicherheit fehlt. Viele Unternehmen reagieren darauf, indem sie neben dem ISB zusätzlich einen IT-Sicherheitsbeauftragten (IT-SB) einsetzen, um die Schnittstelle zwischen strategischer und technischer Sicherheit wirksam abzudecken.

Ein weiteres Problem: Anforderungen aus NIS2, DORA oder IT-Grundschutz erreichen die IT oft gebündelt – ohne abgestimmte Priorisierung. Statt gezielter Maßnahmen entsteht ein Dschungel an parallelen Aktivitäten. Ressourcen werden überlastet, Verantwortlichkeiten bleiben diffus und der operative Stillstand ist programmiert.

Ein IT-Projektstau ist mehr als eine operative Unannehmlichkeit. Er gefährdet die Erreichung strategischer Ziele:

• Ressourcen verteilen sich auf zu viele Baustellen. Ohne klare Prioritäten und sichtbare Ergebnisse entstehen unnötige Wechselkosten und Rüstzeiten zwischen Projekten.
• Kosten steigen durch ineffizientes Arbeiten und parallele Initiativen.
• Die geforderte Wirksamkeit (z. B. aus NIS2 oder DORA) wird nicht erreicht.
• Sicherheitslücken bleiben bestehen, weil Maßnahmen nicht vollständig umgesetzt werden.

Statt Cyberresilienz wächst der Frust – sowohl bei den Verantwortlichen für Informationssicherheit als auch bei den IT-Führungskräften. Projektstau gefährdet Vertrauen und die strategische Weiterentwicklung der Organisation.

Für den ISB entsteht ein massiver Zielkonflikt:

• Die Erwartung: Konformität mit Sicherheitsstandards UND nachweisbare Sicherheit.
• Die Realität: Keine Umsetzung, keine Ergebnisse, keine Wirksamkeit.

Die Folgen: Die Beziehung zur IT-Abteilung leidet. Das Vertrauen schwindet, die Zusammenarbeit stockt und strategische Sicherheitsziele geraten ins Wanken. Der ISB – und mit ihm das Thema Informationssicherheit – werden als Blockierer wahrgenommen. Die Akzeptanz sinkt, und im schlimmsten Fall wird der ISB bewusst umgangen.

Der Weg aus dem IT-Projektstau beginnt mit einem Perspektivwechsel: Nicht die Vielzahl der Anforderungen und Maßnahmen ist das eigentliche Problem, sondern der mangelnde Umgang damit.

Wenn IT und ISB nicht gemeinsam mit den Fachbereichen steuern, priorisieren und verantwortlich handeln, bleibt der gewünschte Sicherheitsreifegrad reine Theorie. Die bloße Verschriftlichung und Kommunikation von Anforderungen reicht nicht aus, denn es benötigt tragfähige Strukturen, funktionierende Prozesse und ein gemeinsames Zielverständnis.

Unsere Handlungsempfehlungen aus der Praxis:

• Verantwortlichkeiten schärfen: Der ISB ist nicht der operative Umsetzer, sondern Impulsgeber, Steuerer und Kontrollinstanz. Die IT verantwortet die Umsetzung.
• IT-Prozesse stabilisieren: Sicherheitsanforderungen müssen auf stabilen IT-Prozessen aufsetzen – sonst fehlt die Umsetzungskraft.
• Gemeinsame Planung etablieren: Nur wer gemeinsam priorisiert, kann realistisch, ressourcengerecht und wirksam umsetzen.
• Integrierte Managementsysteme nutzen: Statt Insellösungen sind integrierte Ansätze gefragt, bei denen Security und IT-Management Hand in Hand gehen.
• Gemeinsames Verständnis schaffen: Sicherheit darf nicht als zusätzlicher Aufwand gesehen werden, sondern muss als integraler Bestandteil des IT-Leistungsversprechens verstanden werden.

Ein IT-Projektstau bei der Einführung von Sicherheitsstandards ist kein Zeichen von Unfähigkeit, sondern ein Hinweis auf strukturelle Defizite in Steuerung, Priorisierung und Zusammenarbeit. Wer Anforderungen nur weiterreicht, anstatt sie gemeinsam einzubetten, wird die Wirksamkeit nicht erreichen und verliert am Ende mehr als nur Zeit.

Wer dagegen auf klare Rollen, wirksame Prozesse und integrierte Planung setzt, schafft nicht nur Sicherheit, sondern vor allem: Vertrauen, Handlungsfähigkeit und echte Resilienz.

Wir helfen Ihnen, Sicherheitsanforderungen gemeinsam mit Ihrer IT zu priorisieren, wirksam umzusetzen und in tragfähige Managementsysteme zu überführen – strategisch durchdacht und praxisgerecht umgesetzt.

Mehr erfahren

Nachricht hinterlassen

Nachricht hinterlassen